Vollständige Festplattenverschlüsselung mithilfe der Technologie BitLocker-Laufwerkverschlüsselung
Es wird empfohlen, vor dem Start der vollständigen Festplattenverschlüsselung des Computers sicherzustellen, dass der Computer nicht infiziert ist. Dazu muss eine vollständige Untersuchung oder eine Untersuchung der wichtigen Computerbereiche gestartet werden. Die vollständige Festplattenverschlüsselung auf einem Computer, der von einem Rootkit infiziert ist, kann zur Funktionsuntüchtigkeit des Computers führen.
Damit die BitLocker-Laufwerkverschlüsselung auf Computern mit einem Server-Betriebssystem einwandfrei funktioniert, kann es erforderlich sein, die Komponente BitLocker-Laufwerkverschlüsselung mithilfe des Assistenten zum Hinzufügen von Rollen zu installieren.
Um die vollständige Festplattenverschlüsselung mithilfe der Technologie BitLocker-Laufwerkverschlüsselung anzuwenden, gehen Sie wie folgt vor:
Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
Öffnen Sie in der Verwaltungskonsolenstruktur im Ordner Verwaltete Geräte den Ordner mit dem Namen der Administrationsgruppe, zu welcher die betreffenden Client-Computer gehören.
Wählen Sie im Arbeitsbereich die Registerkarte Richtlinien aus.
Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
Wählen Sie im Abschnitt Datenverschlüsselung den Unterabschnitt Vollständige Festplattenverschlüsselung.
Wählen Sie in der Dropdown-Liste Verschlüsselungstechnologie das Element BitLocker-Laufwerkverschlüsselung aus.
Wählen Sie in der Dropdown-Liste Verschlüsselungsmodus den das Element Alle Festplatten verschlüsseln aus.
Wenn auf dem Computer mehrere Betriebssysteme installiert sind, können Sie nach der Verschlüsselung nur jenes Betriebssystem ausführen, in welchem die Verschlüsselung ausgeführt wurde.
Wenn Sie die BitLocker-Authentifizierung in der Preboot-Umgebung auf Tablets aktivieren möchten, aktivieren Sie das Kontrollkästchen Verwendung der Authentifizierung erlauben, die Preboot-Tastatureingaben auf Tablets erfordert.
Das Touchpad von Tablets ist in der Preboot-Umgebung nicht verfügbar. Um die BitLocker-Authentifizierung auf Tablets auszuführen, muss der Benutzer beispielsweise eine USB-Tastatur anschließen.
Wählen Sie einen der folgenden Verschlüsselungstypen:
Wenn Sie die Hardwareverschlüsselung verwenden möchten, aktivieren Sie das Kontrollkästchen Hardwareverschlüsselung verwenden.
Wenn Sie die softwarebasierte Verschlüsselung verwenden möchten, deaktivieren Sie das Kontrollkästchen Hardwareverschlüsselung verwenden.
Wählen Sie eine der folgenden Verschlüsselungsmethoden:
Damit nur die Festplattensektoren verschlüsselt werden, die mit Dateien belegt sind, aktivieren Sie das Kontrollkästchen Nur belegten Speicherplatz verschlüsseln.
Damit die gesamte Festplatte verschlüsselt wird, deaktivieren Sie das Kontrollkästchen Nur belegten Speicherplatz verschlüsseln.
Diese Funktion kann nur für unverschlüsselte Festplatten verwendet werden. Wurde eine Festplatte zuvor mit der Funktion Nur belegten Speicherplatz verschlüsseln verschlüsselt, so werden Sektoren, die nicht mit Dateien belegt sind, auch dann weiterhin nicht verschlüsselt, nachdem eine Richtlinie im Modus Alle Festplatten verschlüsseln übernommen wurde.
Wählen Sie eine Methode für die Freigabe von Festplatten, die mithilfe von BitLocker verschlüsselt sind:
Wenn Sie zur Speicherung von Chiffrierschlüsseln das TPM-Modul verwenden möchten, wählen Sie die Variante Trusted Platform Module (TPM) verwenden aus.
Mikrochip, der grundlegende Sicherheitsfunktionen gewährleistet (z. B. für die Speicherung von Chiffrierschlüsseln). Das Trusted Platform Module wird gewöhnlich auf dem Mainboard des Computers installiert und interagiert über eine Hardwareschnittstelle mit den übrigen Systemkomponenten.
Wenn Sie das TPM-Modul nicht für die vollständige Festplattenverschlüsselung verwenden, wählen Sie die Variante Kennwort verwenden aus und geben Sie im Feld Mindestlänge des Kennworts an, wie lang das Kennwort mindestens sein muss.
Für Computer mit den Betriebssystemen Windows 7 und Windows Server 2008 R2 ist nur die Verschlüsselung unter Verwendung eines TPM-Moduls verfügbar. Wenn kein TPM-Modul installiert ist, ist die BitLocker-Verschlüsselung nicht möglich. Die Verwendung eines Kennworts wird auf diesen Computern nicht unterstützt.
Wenn Sie beim vorherigen Schritt die Variante Trusted Platform Module (TPM) verwenden gewählt haben, gehen Sie wie folgt vor:
Wenn Sie einen PIN-Code festlegen möchten, nach dem der Benutzer gefragt wird, wenn er versucht, auf einen Chiffrierschlüssel zuzugreifen, aktivieren Sie das Kontrollkästchen PIN-Code verwenden und geben Sie im Feld Mindestlänge des PIN-Codes an, wie viele Ziffern der PIN-Code mindestens enthalten muss.
Wenn Sie möchten, dass der Zugriff auf verschlüsselte Festplatten mithilfe eines Kennworts möglich ist, falls auf dem Computer kein TPM-Modul vorhanden ist, so aktivieren Sie das Kontrollkästchen Kennwort verwenden, wenn Trusted Platform Module (TPM) nicht verfügbar ist und geben Sie im Feld Mindestlänge des Kennworts an, wie lang das Kennwort mindestens sein muss.
In dieser Situation erfolgt der Zugriff auf Chiffrierschlüssel mithilfe des festgelegten Kennworts auf die gleiche Weise, wie wenn das Kontrollkästchen Kennwort verwenden aktiviert ist.
Wenn das Kontrollkästchen Kennwort verwenden, wenn Trusted Platform Module (TPM) nicht verfügbar ist deaktiviert ist und kein TPM-Modul verfügbar ist, wird die vollständige Festplattenverschlüsselung nicht gestartet.
Klicken Sie auf OK, um die Änderungen zu speichern.
Wenden Sie die Richtlinie an.
Ausführliche Informationen zur Anwendung der Richtlinie für Kaspersky Security Center finden Sie in der Hilfe zu Kaspersky Security Center.
Nachdem die Richtlinie auf einem Client-Computer übernommen wurde, auf dem das Programm Kaspersky Endpoint Security installiert ist, erscheinen folgende Abfragen:
Wenn in der Richtlinie für Kaspersky Security Center die Verschlüsselung der Systemfestplatte festgelegt ist:
Bei Vorhandensein des TPM-Moduls erscheint ein Abfragefenster für den PIN-Code.
Wenn kein TPM-Modul vorhanden ist, erscheint ein Abfragefenster für das Kennwort für die Preboot-Authentifizierung.
Ist im Betriebssystem der FIPS-Kompatibilitätsmodus (Federal Information Processing Standard) aktiviert, so erscheint in den Betriebssystemen Windows 8 und in älteren Versionen ein Abfragefenster zur Verbindung eines Massenspeichergerätes für die Speicherung der Wiederherstellungsschlüsseldatei.
Besteht kein Zugriff auf die Chiffrierschlüssel, so kann der Benutzer beim Administrator des lokalen Unternehmensnetzwerks einen Wiederherstellungsschlüssel anfordern (falls der Wiederherstellungsschlüssel zuvor nicht auf einem Massenspeichergerät gespeichert wurde oder falls der Schlüssel verloren gegangen ist).